फाइल करने के लिए एक linux प्रोसेस की मेमोरी डंप करें

क्या किसी फ़ाइल के लिए (PID द्वारा) प्रक्रिया के लिए आवंटित वर्तमान मेमोरी को डंप करना संभव है? या इसे किसी तरह पढ़ा?

मुझे यकीन नहीं है कि आप बार-बार ऐसा किए बिना किसी फ़ाइल को सभी मेमोरी कैसे डंप करते हैं (अगर किसी को पता है कि यह करने के लिए gdb प्राप्त करने के लिए एक स्वचालित तरीका है, तो कृपया मुझे बताएं), लेकिन निम्नलिखित में से किसी एक मेमोरी के बैच के लिए काम करता है जिसे आप जानते हैं पिड:

$ cat /proc/[pid]/maps

यह प्रारूप (उदाहरण) में होगा:

00400000-00421000 r-xp 00000000 08:01 592398                             /usr/libexec/dovecot/pop3-login
00621000-00622000 rw-p 00021000 08:01 592398                             /usr/libexec/dovecot/pop3-login
00622000-0066a000 rw-p 00622000 00:00 0                                  [heap]
3e73200000-3e7321c000 r-xp 00000000 08:01 229378                         /lib64/ld-2.5.so
3e7341b000-3e7341c000 r--p 0001b000 08:01 229378                         /lib64/ld-2.5.so

मेमोरी का एक बैच चुनें (इसलिए उदाहरण के लिए 00621000-00622000) तो प्रक्रिया को संलग्न करने और उस मेमोरी को डंप करने के लिए रूट के रूप में gdb का उपयोग करें:

$ gdb --pid [pid]
(gdb) dump memory /root/output 0x00621000 0x00622000

फिर स्ट्रिंग्स कमांड के साथ विश्लेषण / रूट / आउटपुट, कम आप अपनी स्क्रीन पर PuTTY चाहते हैं।

मैंने एक स्क्रिप्ट बनाई है जो इस कार्य को पूरा करती है।

यह विचार जेम्स लॉरी के उत्तर और इस पोस्ट से आता है: http://www.linuxforums.org/forum/programming-scripting/52375-reading-memory-other-processes.html#post287195

#!/bin/bash

grep rw-p /proc/$1/maps \
| sed -n 's/^\([0-9a-f]*\)-\([0-9a-f]*\) .*$/\1 \2/p' \
| while read start stop; do \
    gdb --batch --pid $1 -ex \
        "dump memory $1-$start-$stop.dump 0x$start 0x$stop"; \
done

इसे एक फ़ाइल में डालें (उदाहरण के लिए। "dip-all-memory-of-pid.sh") और इसे क्रियान्वित करें

उपयोग: ./dump-all-memory-of-pid.sh [pid]

आउटपुट नामों के साथ फाइल में प्रिंट किया गया है: pid-startaddress-stopaddress.dump

निर्भरता: gdb

प्रयत्न, कोशिश

    gcore $pid

जहां $pidपिड की वास्तविक संख्या है; अधिक जानकारी के लिए देखें:info gcore

डंप होने के लिए कुछ समय लग सकता है, और कुछ मेमोरी पढ़ने योग्य नहीं हो सकती है, लेकिन यह काफी अच्छा है ... इस बात से भी अवगत रहें कि यह बड़ी फाइल बना सकती है, मैंने अभी एक 2GB फाइल बनाई है जिस तरह से ।।

आदमी खरीद कहते हैं:

/ proc / [pid] / mem इस फ़ाइल को ओपन (2), रीड (2), और लेसेक (2) के माध्यम से प्रक्रिया की मेमोरी के पेज तक पहुँचने के लिए उपयोग किया जा सकता है।

शायद यह आपकी मदद कर सके

मैंने पूरी प्रक्रिया मेमोरी को डंप करने के लिए अपना खुद का प्रोग्राम बनाया, यह सी में है इसलिए इसे एंड्रॉइड पर क्रॉस-संकलित किया जा सकता है, जिसे इसकी आवश्यकता है।

आप आईपी पता और टीसीपी पोर्ट भी निर्दिष्ट कर सकते हैं। स्रोत कोड यहाँ ।

शुद्ध बैश समाधान:

procdump () 
{ 
    cat /proc/$1/maps | grep "rw-p" | awk '{print $1}' | ( IFS="-"
    while read a b; do
        count=$(( bd-ad ))
        ad=$(printf "%llu" "0x$a")
        bd=$(printf "%llu" "0x$b")
        dd if=/proc/$1/mem bs=1 skip=$ad count=$count of=$1_mem_$a.bin
    done )
}

उपयोग: procdump पीआईडी

एक क्लीनर डंप के लिए:

procdump () 
{ 
    cat /proc/$1/maps | grep -Fv ".so" | grep " 0 " | awk '{print $1}' | ( IFS="-"
    while read a b; do
        ad=$(printf "%llu" "0x$a")
        bd=$(printf "%llu" "0x$b")
        dd if=/proc/$1/mem bs=1 skip=$ad count=$(( bd-ad )) of=$1_mem_$a.bin
    done )
}

मानक आउटपुट, पीसीएटी / मेमडंप में प्रक्रिया को डंप करने का उपकरण:

• http://manpages.ubuntu.com/manpages/gutsy/man1/pcat.1.html
• http://www.porcupine.org/forensics/tct.html

अब आप लिनक्स पर SysInternals सुइट से procdump का उपयोग कर सकते हैं:

https://github.com/Microsoft/ProcDump-for-Linux

यदि आप विशाल कोर फ़ाइल (गर्क के साथ कहना) के बिना चल रही प्रक्रिया के एक अलग मेमोरी सेगमेंट को डंप करना चाहते हैं, तो आप यहां से एक छोटे टूल का उपयोग कर सकते हैं । README में एक-लाइनर भी है यदि आप सभी पठनीय खंडों को अलग-अलग फाइलों में डंप करना चाहते हैं।